流行的在线协作工具Slack被盗,导致500,000个电子邮件地址和其他个人帐户数据被泄露。在密码保持安全的同时,鼓励用户采取措施。
什么是Slack?
Slack是一种协作工具,实际上是支持文件的用户定义聊天室的集合。共享和私人消息传递,Slack于2013年8月推出,在发布后的24小时内吸引了8000人注册。该服务还非常适合小型团队而不是大型部门,还可以与其他工具集成,例如Google Docs和Dropbox。
这不是您通常在家里使用的那种工具,但是如果您在需要优质软件进行项目管理的办公室工作,则无论您的同事被分组在一个办公室中还是作为一个分布式团队(也称为虚拟团队,即由遍布地球的人员组成的团队)存在, Slack是一个不错的选择。
Slack在您的浏览器中可用,也可以作为iOS和Android的移动应用程序使用。官方桌面客户端可用于Windows和Mac OS X,并且还有非官方的Linux版本。
Slack安全漏洞
Slack可能已经成为目标市场评估价值27.6亿美元,以及有消息称其50万用户中的135,000付费使用该服务,或由雇主代其付费。
该违规行为发生在2月和持续了四天。 Slack告诉The Verge“作为违规的一部分,不访问包含团队消息历史记录的数据库。
有趣的是,这并不是Slack第一次安全地放下裤子。 2014年10月,据报道存在一个错误,该错误使未登录网站的访问者可以查看特定公司正在使用的频道(聊天室)的名称。
因此,团队消息始终处于机密状态(攻击可能使Slack节省了许多已经困扰的客户)攻击的重点在于用户详细信息,用于登录的电子邮件地址等内容以及其他配置文件信息,例如Slack用户名,电话号码,配置文件数据和Skype帐户名。
密码有什么作用?
Slack认为,入侵者不会破解任何泄露的密码,这要归功于它们是“单向加密(散列)密码"。<
进一步解释:
“我们没有迹象表明黑客能够解密存储的密码,因为Slack使用一种称为哈希的单向加密技术。"
值得注意的是,Slack有效地处理了此事,直到发布攻击的任何信息,他们已经与受影响的人进行了沟通。因此,如果您没有收到Slack的消息,那么您受到影响的可能性就很小。
但是,这些密码被散列的事实并不意味着使用正确的工具就无法破解它们。
采取步骤保护Slack
为应对攻击,Slack引入了两个新功能。首先是给管理员一个通用的重置开关,从而迫使特定团队中的所有用户重置其密码。这样做可以减轻任何直接的安全隐患。
从长远来看,毫无疑问,答案可以在两因素身份验证中找到,Slack现在也引入了该问题。要激活此功能,您应该登录自己的Slack帐户,单击左下角的状态,然后选择您的个人资料>编辑个人资料。在此处,切换到设置和展开两因素身份验证部分。
添加当前的Slack密码,然后点击启用两因素身份验证按钮,您将在其中看到有关使用所选身份验证器应用程序扫描条形码的说明(以下屏幕截图来自Google身份验证器,但您也可以将Duo用于Android或iPhone或Windows Phone身份验证器)。
接下来,切换到智能手机上的身份验证器应用,然后使用帐户设置选项来扫描条形码。将显示一个验证码,您需要在Slack网站上的框中输入该验证码以激活两因素身份验证。
请注意,为了防止万一您输入密码,还会显示十个备用验证码。丢失智能手机。如果发生这种情况,请使用备用代码登录Slack。
请进行更多的两因素身份验证!
Slack因其在处理违规情况方面的速度和效率而受到一次赞扬发现。虽然发生在2月,但该公司的第一反应是与受影响的帐户持有人联系。
有趣的是,Slack已经计划引入两因素身份验证,但所有这些事件的确告诉我们,2FA应该适用于所有在线帐户。即使可以简化整个两因素身份验证设置,这也很有意义。
您是否受到Slack漏洞的影响?您是否对使用的服务缺乏两因素身份验证感到沮丧?让我们知道。
图片来源:斧头砍柴砍柴通过Shutterstock,女人通过PlaceIt笔记本电脑, JC713
